Долгое время считалось, что учреждения здравоохранения остаются в относительной безопасности перед киберпреступностью, потому что слабо цифровизованы. Но в последнее время этот барьер пал: развивается телемедицина, медкарты переведены в электронный вид. Это значит, что медицинская информация о каждом из нас может оказаться в руках злоумышленников, если произойдет утечка или взлом. Пандемия не только подстегнула цифровизацию, но местами создала настоящий цифровой хаос, что заставляет власти принимать меры.
Минздрав заявляет, что собирается разработать Концепцию информационной безопасности для здравоохранения. И сообщает, что число кибератак в медицине в 2020 году выросло на 90%. То есть официально подтверждено то, что многие годы вызывало опасение у экспертов: медицинские данные не игрушка, их свободное распространение и слабая защита – огромная проблема.
Добавлю аргументов. 2020 год из-за пандемии стал уникальным и вывел на передний план все «болячки» системы. Мы сами тоже собирали статистику по утечкам данных коронавирусных больных – 100% этих утечек произошло по вине самих врачей или из-за слабой защиты медицинских организаций.
Если смотреть на проблему в комплексе, то можно выделить основные пункты, которые необходимо проработать:
Слабое законодательство, которое не мотивирует защищать данные
Законы, действительно, не мотивируют к защите данных. Нарушение Федерального закона № 152 «О персональных данных» предполагает очень скромный штраф, и даже тот применяется редко. Для заведения дела о нарушении врачебной тайны и неприкосновенности частной жизни потерпевший должен обратиться с иском в суд. Но такая практика в России не развита. Многие даже не догадываются, что стали жертвой утечки и что это может быть опасно.
Низкая культура обращения с данными – как со стороны пациентов, так и со стороны врачей
Нет сложившейся культуры защиты врачебной тайны. Медицинские сведения – это особый вид информации, требования по ее защите прописаны в законе о защите персональных данных. Но осознания этой «особости» нет. Это хорошо показала практика прошлого года, когда добрая половина утечек данных о коронавирусных больных случилась из-за того, что врачи скидывали их данные себе на телефон и пересылали по WhatsApp.
Порой можно увидеть брошенные посты медсестер с незаблокированными компьютерами – используй как хочешь. Можно слить данные страховым, фармкомпаниям, черным риелторам и продавцам БАДов. Я уж молчу про сценарии, когда из-за такого халатного отношения к информации может быть причинен вред здоровью. Представьте, если будет изменена информация в протоколе лечения или о существующих у пациента аллергических реакциях. Даже взлом IoT-устройств (например, кардиостимуляторов) больше не фантастика. Поэтому вся подобная информация должна быть защищена идеально.
Отсутствие в медучреждениях защитных решений и специалистов по информационной безопасности
В большинстве медучреждений нет ни ИТ-, ни специалистов по информационной безопасности для контроля работы с данными, внедрения защитных решений и т. п. Уверен, что появление концепции, которую задумал Минздрав, «подтянет» общий уровень защиты данных. Так появление Федерального закона № 187 «О безопасности критической информационной инфраструктуры Российской Федерации» положительно сказалось на объектах критической инфраструктуры: на оснащенности защитными решениями, бизнес-процессах, общей культуре работы в ИТ-инфраструктуре.
Таким образом, готовность Минздрава можно только приветствовать. Но хотелось бы, чтобы при разработке документа не были допущены недочеты, которые, к сожалению, сопровождают некоторые последние инициативы по защите данных.
Недостаточно продуманный регламент обмена данными
Часто меры защиты данных хорошо продуманы в рамках конкретного ведомства, а вопросы взаимодействия этого ведомства с другими учреждениями – плохо. В результате эти «стыки» становятся наиболее уязвимыми местами для взлома. А при обмене данными, их пересылке, случается наибольшее число утечек.
Смещение акцентов
Документы чаще всего фокусируются на защите данных от внешних угроз, а от внутренних рисков меры часто проработаны слабо. Эта проблема касается не только «общего» ФЗ-152, но и таких «продвинутых» документов, как упомянутый выше ФЗ-187 или требования Центробанка.
Например, ЦБ в своих стандартах подробно описывает меры по защите от киберпреступности, а все, что касается инсайдерских рисков – только рекомендация. Надо понимать психологию руководителя любой организации: нет обязательного требования – нет и бюджетов. Сознательных и принципиальных мало.
Переоценка возможностей учреждений по выполнению требований по защите информации
Можно создать идеальный документ, который будет подробно описывать строгие требования защиты, но важно оценивать, насколько они выполнимы «на земле». Вместе с концепцией должен быть продуман вопрос полноценного бюджетирования на закупку защитных программ, найма специалистов по информационной безопасности. Иначе концепция, как и дальнейшие прикладные документы, останутся просто бумажками.
Но и деньгами не решить всех проблем. Даже «богатая» финансовая сфера испытывает дефицит кадров хороших специалистов по информбезопасности! Как же за них может конкурировать больница или поликлиника, где и сисадмина часто нет? Я лично убежден, что мы неизбежно придем к развитию рынка аутсорсинга для решения этой проблемы, это мировой тренд.
Как его можно применять для госорганизаций? Выходом могут стать государственные центры информационной безопасности, которые и станут «мозговыми центрами» с ИБ-специалистами в штате, передовым оснащением. Они снимут головную боль по защите данных и с крупного регионального медцентра, и с рядовой районной поликлиники.